MadFox 0 Опубликовано 28 декабря, 2017 Share Опубликовано 28 декабря, 2017 (изменено) Доброго времени суток! Сегодня утром вирус-шифровальщик зашифровал все файлы на сервере. Все файлы заканчиваются на .id-8463DA9B.[darkfuture@cock.li].java Для расшифровки просят написать на darkfuture@cock.li Если есть возможность, помогите. Спасибо. П.С. файл ports.zip сам шифровальщик CollectionLog-2017.12.28-10.33.zip FRST.zip Изменено 28 декабря, 2017 пользователем Sandor Убрал подозрительный файл Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 28 декабря, 2017 Share Опубликовано 28 декабря, 2017 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Цитата Ссылка на сообщение Поделиться на другие сайты
MadFox 0 Опубликовано 29 декабря, 2017 Автор Share Опубликовано 29 декабря, 2017 Здравствуйте! Логи сделаны в терминальной сессии, сделайте их из консоли. Сделано. KVRT.zip - это скрин того что нашел KVRT. CollectionLog-2017.12.29-10.28.zip FRST.zip KVRT.zip Цитата Ссылка на сообщение Поделиться на другие сайты
Sandor 1 253 Опубликовано 29 декабря, 2017 Share Опубликовано 29 декабря, 2017 Тип вымогателя Dharma (.cezar). Впечатление такое, что и еще какой-то. Расшифровки нет, к сожалению. Будет только очистка следов. Отключите до перезагрузки антивирус. Выделите следующий код: Start:: CreateRestorePoint: HKLM\...\Run: [app.exe] => C:\Windows\System32\app.exe HKLM\...\Run: [C:\Windows\System32\Info.hta] => C:\Windows\System32\Info.hta [13921 2017-12-28] () HKLM\...\Run: [C:\Users\Starlight\AppData\Roaming\Info.hta] => C:\Users\Starlight\AppData\Roaming\Info.hta [13921 2017-12-28] () HKLM\...\Run: [C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta] => C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta [13921 2017-12-28] () Startup: C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] () Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] () Startup: C:\Users\Starlight\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Info.hta [2017-12-28] () 2017-12-28 21:05 - 2017-12-28 21:05 - 000013921 _____ C:\Users\Administrator.AMADEUSSERVER.002\AppData\Roaming\Info.hta 2017-12-28 21:05 - 2017-12-28 21:05 - 000000170 _____ C:\Users\Administrator.AMADEUSSERVER.002\Desktop\FILES ENCRYPTED.txt 2017-12-28 08:04 - 2017-12-28 21:05 - 000013921 _____ C:\Windows\system32\Info.hta 2017-12-28 08:04 - 2017-12-28 21:05 - 000000170 _____ C:\Users\Public\Desktop\FILES ENCRYPTED.txt 2017-12-28 08:04 - 2017-12-28 21:05 - 000000170 _____ C:\FILES ENCRYPTED.txt 2017-12-28 08:04 - 2017-12-28 08:04 - 000013921 _____ C:\Users\Starlight\AppData\Roaming\Info.hta 2017-12-28 08:04 - 2017-12-28 08:04 - 000000170 _____ C:\Users\Starlight\Desktop\FILES ENCRYPTED.txt End:: Скопируйте выделенный текст (правой кнопкой - Копировать). Запустите FRST (FRST64) от имени администратора. Нажмите Fix один раз (!) и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению. Перезагрузите компьютер вручную. Подробнее читайте в этом руководстве. Цитата Ссылка на сообщение Поделиться на другие сайты
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.